Jazzcat Skrevet 26. mars 2004 Skrevet 26. mars 2004 Jeg trenger hjelp med aa sette opp iptables slik at maskinen ikke svare paa ping utenfra. Har lest litt paa iptables i Linux og har tenkt noe som dette: # Tillater utgaaende pings /usr/sbin/iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT # Dropper ICMP requests til maskinen, untatt hvis jeg har requested dem # (echo-reply || destination-unreachable || time-exceeded) /usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT /usr/sbin/iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT /usr/sbin/iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT /usr/sbin/iptables -A INPUT -p icmp -i eth0 -j DROP Vil dette funke eller har jeg tenkt feil ? Eller er det noen som har noen bedre forslag ?
Torbjørn Skrevet 26. mars 2004 Skrevet 26. mars 2004 reodorfelgen-løsning: iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP =)
Jazzcat Skrevet 26. mars 2004 Forfatter Skrevet 26. mars 2004 [quote name='Torbjørn' date='26/03/2004 : 14:43']reodorfelgen-løsning: iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP =)[/quote] Hva med requests som jeg selv har initiert ? Jeg vil helst bare stoppe ICMP trafikk jeg selv ikke har initiert.
Torbjørn Skrevet 26. mars 2004 Skrevet 26. mars 2004 du vil ikke initiere echo-reply's... normalt sett.
Jazzcat Skrevet 26. mars 2004 Forfatter Skrevet 26. mars 2004 (endret) [quote name='Torbjørn' date='26/03/2004 : 15:25'] du vil ikke initiere echo-reply's... normalt sett. [/quote] Hva med mitt oprinnelige forslag ovenfor ,ser det greit ut eller vil det ikke fungere slik jeg har tenkt ? - Bare tillate ICMP pakker som svarer mine utgaaende ICMP'er Endret 26. mars 2004 av Jazzcat
Jazzcat Skrevet 26. mars 2004 Forfatter Skrevet 26. mars 2004 (endret) Vil jeg trenge aa legge til for ekstra sikkerhet: [code]/usr/sbin/iptables -A OUTPUT -p icmp -o eth0 -m state --state NEW -j ACCEPT[/code] for aa bare tillate NYE ping aa komme ut, men ingen som er relatert til inkommende trafikk, (hvis du skjonner have jeg mener.) Eller er det unodvending da jeg kun tillater ICMP pakker som svarer mine utgaaende ICMP'er allerede ? Edit skriveleifs Endret 26. mars 2004 av Jazzcat
Torbjørn Skrevet 26. mars 2004 Skrevet 26. mars 2004 vil du stoppe alle icmp-pakker, eller bare ping? isåfall bare følgende: for å stoppe all inkommende icmp: iptables -A INPUT -p icmp -i eth0 -m state --state NEW -j DROP
Jazzcat Skrevet 26. mars 2004 Forfatter Skrevet 26. mars 2004 (endret) Vil ikke stoppe alle icmp pakker, kun de jeg selv ikke har initiert. Man skal ikke kunne pinge maskinen utenifra(det skal ikke sendes noen echo reply ut, så sant ikke jeg selv har initiert den.) [b]"- Bare tillate ICMP pakker som svarer mine utgaaende ICMP'er"[/b] Endret 26. mars 2004 av Jazzcat
Jazzcat Skrevet 28. mars 2004 Forfatter Skrevet 28. mars 2004 Er det noen som har inngående kjennskap til iptables som kan hjelpe til litt her?
Torbjørn Skrevet 29. mars 2004 Skrevet 29. mars 2004 vil du stoppe alle icmp-pakker, eller bare ping? isåfall bare følgende: for å stoppe all inkommende icmp: iptables -A INPUT -p icmp -i eth0 -m state --state NEW -j DROP Kun forbindelser du selv ikke har initiert vil matche "NEW" kriteriaet... så, igjen, dette bør vel duge?
xeon Skrevet 29. mars 2004 Skrevet 29. mars 2004 men herregud da.. dette duger for echo, men du bør egentlig ha litt mer oppe også (på icmp) iptables -P INPUT DROP iptables -A INPUT -i $ext_if -p icmp --icmp-type pong -j ACCEPT # +++ # og hvis du skal ha åpnet for ut.. :-/ iptables -A OUTPUT -o $ext_if -p icmp --icmp-type ping -j ACCEPT
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå